Microsoft Passwordless Authentication and Passkeys
Microsoft e o futuro sem senhas: insights para pentesters e consultores
A Microsoft está adotando autenticação sem senha em novas contas, usando passkeys, notificações push e chaves físicas. O modelo já registra 98% de sucesso em logins (vs. 32% com senhas), com quase 1 milhão de passkeys criados diariamente.
Passkeys na prática: Funcionam como um “cadeado digital”: o serviço guarda uma chave pública, enquanto a privada fica no dispositivo, protegida por biometria, PIN ou hardware (ex: TPM). Eliminam phishing, pois a chave nunca é transmitida.
Debates da comunidade: Sincronia entre ecossistemas:Soluções como 1Password ou Bitwarden permitem sync cross-platform, enquanto iCloud/Google são mais restritos. Dica de usuário: “Bitwarden auto-hospedado oferece controle total sem custo”.
Segurança: Biometria/PINs são camadas locais — o passkey em si está em hardware seguro. Recuperação: Fallback para e-mail/SMS persiste, mas perder acesso a todos os dispositivos com passkey do e-mail significa bloqueio total.
Para profissionais de segurança: Testem como passkeys são gerenciados em ambientes multi-OS e se há falhas no fallback (ex: SMS). Atenção à implementação de FIDO2/WebAuthn e armazenamento de chaves (priorizem hardware seguro). A migração é inevitável: dominem os padrões e eduquem clientes sobre riscos (ex: dependência de ecossistemas) e vantagens (redução de phishing).
https://www.theverge.com/news/659929/microsoft-passwordless-passkeys-by-default Microsoft goes passwordless by default on new accounts
Como os passkeys combatem o phishing (mesmo com biometria/USB):
Os passkeys substituem senhas por criptografia assimétrica: ✔️ Nada é compartilhado: A chave privada fica só no seu dispositivo e nunca é enviada.
🛡️ Domínio verificado: Passkeys só funcionam no site verdadeiro (ex: microsoft.com). Se um phishing (ex: mīcrosoft.com) tentar enganar, o navegador bloqueia.
🔑 Biometria/USB são gatilhos locais: Só liberam o uso da chave privada no seu dispositivo, sem transmitir dados.
Exemplo: Você clica num link de phishing para “Microsoft”. O site falso pede autenticação, mas o passkey só funciona no domínio real. O login falha, e o ataque é frustrado.
Obs: Ainda é possível ser phished se o usuário cadastrar um passkey manualmente em site falso, mas o risco cai drasticamente.